Gestionar el acceso de trabajadores remotos, principal reto para los responsables de ciberseguridad españoles
La capacidad de respuesta de las empresas españolas a incidentes de seguridad ha sido de las más altas de Europa.
Infoblox, líder en gestión y seguridad de DNS, ha hecho públicas las conclusiones de un informe sobre el estado de la ciberseguridad en organizaciones de diversos países, sobre cómo los nuevos modelos de trabajo han afectado a la postura de seguridad de las compañías y sobre las diferentes estrategias adoptadas por las organizaciones para mitigar los riesgos de ciberseguridad generados.
El estudio “2022 Global State of Security Report”, realizado por la Unidad de Business Intelligence de CyberRisk para Infoblox, se ha llevado a cabo mediante encuestas on-line a 1.100 responsables de TI y ciberseguridad de 11 países distintos.
Las conclusiones relativas a España provienen de 100 encuestas realizadas a directivos de nivel ejecutivo, responsables de seguridad y analistas de empresas y organizaciones de diferente tamaño, pertenecientes a los sectores de industria (15%), comercio minorista (13%), alta tecnología (10%) y negocios/servicios profesionales (9%), y otros sectores (53%).
El estudio revela cómo los retos de seguridad asociados al incremento de ubicaciones remotas y el teletrabajo se han convertido en una de las principales preocupaciones de los responsables de TI de las empresas españolas. Como en el resto de Europa, las empresas españolas han tenido que replantearse su estrategia e inversiones en TIC para dar cobertura a los trabajadores que han tenido que permanecer en casa. Esto ha afectado sobre todo a empresas medianas y pequeñas, que son las que han invertido comparativamente más recursos en servicios como soporte remoto, seguridad de red y personal de TI. La capacidad de respuesta de las empresas españolas a incidentes de seguridad ha sido de las más altas, ya que un 80% de los encuestados ha manifestado que fueron capaces de responder a una amenaza en el plazo de 24 horas desde su identificación.
El estudio recoge 10 conclusiones principales con relación a las estrategias de TI y seguridad puestas en marcha por las empresas españolas a raíz de la pandemia:
1. Desde 2020, la mayoría de las organizaciones españolas han acelerado su proceso de transformación digital para dar soporte a sus trabajadores remotos. Casi la mitad de los encuestados (48%) ha manifestado que en su organización se ha reducido el tiempo de realización de proyectos orientados a la modernización de infraestructuras de TI, seguridad de de red y protección de bases de datos en torno a un 57%. Además, un 36% ha ampliado notablemente los recursos de personal de TI desde 2020. España es uno de los países europeos con una tasa de contratación de personal de TI más altas de Europa. En España, una de cada cinco de las organizaciones encuestadas cerró oficinas físicas, una tasa similar a Alemania, pero inferior a otros países de la UE.
2. Las empresas españolas prefieren usar VPN, firewalls y que los teletrabajadores utilicen dispositivos móviles corporativos. El 57% de los encuestados manifiesta que en sus organizaciones se desplegaron VPNs y firewalls para dotar de conectividad segura a sus trabajadores remotos. Asimismo, el 53% decidió dotar a sus teletrabajadores de dispositivos móviles controlados por la empresa, frente al 36%, que permitió que los trabajadores remotos emplearan sus propios dispositivos. Finalmente, un 40% manifestó haber incorporado servidores de gestión de DNS/IP basados en la nube para securizar sus comunicaciones.
3. Preocupación por la fuga de datos y el ransomware. Más de la mitad de las organizaciones españolas encuestadas (54%) mostró su preocupación porque las conexiones remotas generaran brechas de seguridad que resultaran en exfiltración de datos sensibles, en ataques de ransomware (49%) y por ataques específicamente dirigidos a esas conexiones remotas (34%). Algunos de los encuestados reconocieron que las conexiones remotas les hacían más vulnerables frente a potenciales fuga de datos (16%) frente a amenazas internas (15%), y frente al ransomware (14%).
4. Entre 1 y 5 incidentes de seguridad en el último año. Un 57% de los encuestados españoles reconoce haber experimentado entre 1 y 5 incidentes de seguridad en el último año, sin embargo, un 48% de los mismos reconoce que estos incidentes no ocasionaron ninguna brecha de seguridad, lo que podría interpretarse como que las medidas y estrategias de seguridad puestas en marcha han surgido efecto en un alto porcentaje. De los que sí tuvieron una brecha de seguridad como consecuencia del incidente de seguridad, los vectores de ataque más frecuentes fueron algún tipo de aplicación (27%), un equipo conectado en remoto (27%) o un ataque desde dentro de la organización (25%).
5. Los trabajadores españoles, victimas del phishing. A través de este método de ataque se produjeron el 58% de las infracciones reportadas en los últimos 12 meses, seguido de cerca por el ransomware (54%). Esta alta cifra de ataques por phishing indica un cierto fracaso en las políticas corporativas orientadas a formar en buenas prácticas de seguridad a empleados y clientes, por lo que es claramente un punto a mejorar.
6. Robo de credenciales para hacer caer sistemas. Muchas de organizaciones víctimas de un ataque exitoso sufrieron el robo de credenciales, lo que permitió a los atacantes entrar en los sistemas y provocar disrupciones en los servicios de TI de la empresa. Las organizaciones atacadas sufrieron secuestro de credenciales (el 52%), exfiltración de datos (el 42%) y acceso a los sistemas de mando y control (31%). Una vez que los cibercriminales consiguieron entrar en los sistemas de TI de las organizaciones, provocaron caídas de sistemas a un 50% de ellas, manipulación de datos (al 38%) o secuestro de información (38%). El 58% reconoció daños económicos directos e indirectos cercanos al millón de euros.
7. Capacidad de respuesta en 24 horas. Un 84% de las organizaciones españolas que experimentó una brecha de seguridad manifestó haber podido responder a la incidencia dentro de las 24 horas siguientes al momento de producirse el evento. Esta alta capacidad de respuesta fue posible gracias al uso de herramientas de detección de amenazas, análisis de tráfico de red y de detección de vulnerabilidades específicas del sistema (44%) y de consultas de DNS (42%). En cuanto a los puntos débiles, se han detectado carencias en cuanto a capacidades de monitorización de sitios remotos (30%), escasez de personal de TI especializado (30%) y falta de recursos financieros para llevar a cabo las inversiones necesarias (26%).
8. DNS como refuerzo de la seguridad perimetral. Una gran parte de organizaciones españolas ha utilizado la gestión segura de DNS como mecanismo para aliviar la carga de trabajo de los sistemas de seguridad perimetral. Se ha utilizado la gestión de DNS principalmente para saber qué dispositivos realizan solicitudes a destinos maliciosos (el 52% de los encuestados) bloquear accesos (46%) y como protección contra la tunelización de DNS (el 43%).
9. Más recursos a proteger la red, los datos y la nube. Casi el 60% de las empresas españolas encuestadas experimentó reducciones en sus presupuestos sus presupuestos de seguridad de TI en 2021, pero el 64% prevé contar con más recursos en 2022. Dentro de los planes de inversión de las empresas encuestadas figuran soluciones VPN y control de acceso a red (24%), detección de dispositivos conectados (20%) y seguridad de red (19%), sistemas de acceso seguro a la nube (39 %) y seguridad DNS (19 %). Aquellas organizaciones que apuestan por estrategias híbridas incluyen entre sus prioridades de inversión gateways web seguros (53%), seguridad de red (49%), herramientas de monitorización de tráfico (44%) y seguridad DNS (47%).
10. Crece el interés por SASE. El interés por asegurar el extremo de la red utilizando una estrategia Secure Access Service Edge (SASE) está creciendo en España. El 48% de las organizaciones españolas encuestadas ya han implementado, parcial o totalmente, estrategias SASE y un 30% tiene la intención de hacerlo, ya sea a través de un solo proveedor (51%) o de varios (49%).
En línea con estas conclusiones, el CISO de una gran compañía española de servicios profesionales ha comentado: “Tenemos más de 5.000 ubicaciones remotas, y aunque están conectados mediante VPN con un protocolo de doble autenticación, el un gran volumen de conexiones representa en sí mismo una amenaza de seguridad significativa”.
Conclusiones generales del informe
El teletrabajo ha venido para quedarse. Desde que se inició la pandemia, empresas y organismos gubernamentales de todo el mundo han reiniciado actividades de forma muy desigual, con reaperturas desiguales, mensajes de salud pública cambiantes, y problemas en las cadenas de suministro. Como conclusiones generales del estudio, extraídas a partir de los hallazgos realizados en cada uno de los países, el informe recoge:
• El aumento de trabajadores y usuarios remotos ha cambiado los entornos de trabajo de las organizaciones de manera significativa y permanente. Algunas compañías han cerrado oficinas físicas para siempre, e incluso aquellas que todavía mantienen el trabajo presencial son conscientes de que deben prepararse para gestionar el trabajo remoto o los entornos de trabajo híbridos. Como resultado, algunos han empezado a adoptar más rápidamente aplicaciones en la nube y confiar en la seguridad de red tradicional basada en VPNs y firewalls instalados en dispositivos móviles corporativos. Para empleados que utilizan su propio equipo, muchas empresas están desplegando soluciones para monitorizar y administrar el tráfico DNS, DHCP e IP en remoto o fuera del alcance sus servidores.
• Preocupación por la fuga de datos, el ransomware y ataques específicamente diseñados para ubicaciones remotas. La nueva realidad de la fuerza laboral híbrida está causando mayores preocupaciones respecto a la exfiltración de datos, el ransomware y los ataques a través de herramientas de acceso remoto y servicios en la nube. Los encuestados están preocupados por su capacidad para contrarrestar ciberataques cada vez más sofisticados teniendo un control limitado sobre empleados y otros usuarios vulnerables.
• Crecen los incidentes de ciberseguridad en todo el mundo. Las organizaciones tienen buenas razones para preocuparse: la gran mayoría de los encuestados manifestaron haber experimentado hasta cinco incidentes de seguridad que tuvieron como resultado al menos una brecha de seguridad. Los ataques se han originado frecuentemente en puntos de acceso WiFi, dispositivos BYOD o la nube. El phishing ha sido un mecanismo frecuente utilizado para acceder ilegítimamente a los sistemas de la víctima y robar o secuestrar información. Estas brechas de seguridad no han sido menores; el 43% de las organizaciones encuestadas que reconoció una brecha de este tipo manifiesta haber sufrido pérdidas – directas e indirectas -de más de un millón de dólares.
• Interés creciente por SASE. A medida que los activos de TI, el acceso y la seguridad pivotan hacia el extremo de la red, como consecuencia de la virtualización, muchas organizaciones han decidido adoptar estrategias de seguridad en el extremo. El 54 % de los encuestados ya ha implementado estrategias SASE, total o parcialmente, en sus organizaciones, y el 28% restante tiene intención de hacerlo.
• Las organizaciones ya aplican controles en entornos locales, cloud e híbridos, pero queda mucho por hacer. Aproximadamente dos terceras partes de los encuestados no estaban satisfechos con la capacidad de su organización para responder a un ataque real, como ransomware, utilizando las herramientas con que cuentan en la actualidad. También están buscando soluciones para entornos híbridos, frente a soluciones sólo on-premise o para “cloud”.
• El presupuesto de seguridad de TI aumentó en 2021 en muchas organizaciones, y se espera que siga invirtiéndose en 2022. La mayoría se inclina por soluciones híbridas que protegen los activos tanto on-premise como en la nube, y muchas organizaciones está evaluando una amplia variedad de soluciones, que van desde seguridad para equipos remotos, seguridad de red, sistemas de acceso seguro a la nube, seguridad DNS y soluciones de inteligencia de seguridad/amenazas.
Como comenta José Concepción, country manager para Iberia e Israel de Infoblox “La lucha contra las amenazas es una actividad incesante para cualquier departamento de TI, ya que no existe un entorno 100% protegido y, en general, el atacante cibernético está siempre “un paso” por delante, innovando en la creación de nuevas y cada vez más sofisticadas técnicas de ataque. Usar una capa de seguridad adicional mediante el uso de DNS refuerza sensiblemente la postura de seguridad de cualquier organización. Por otro lado, en entornos corporativos, es de suma importancia adoptar soluciones que permitan monitorizar, detectar y securizar los dispositivos desde los que los trabajadores remotos se conectan, con el fin de minimizar el impacto de las amenazas”.